Bybit内部出包？安全专家：北韩骇客Lazarus疑似入侵交易所员工电脑取得钱包多簽权限

加 密货币交易所 Bybit 今日凌晨惊传遭骇价值约 14.7 亿美元的 ETH 和 stETH，瞬间引爆社群。根据 Arkham 分析 数据 ，骇客将资产变卖后得手价值约 13.4 亿美元 ETH（499,395 枚）以及 4200 万美元的 cmETH（15,000枚），并将资金分散在 53 个地址中。

虽然 Bybit 此次遭骇损失惨重，以太坊资金漏洞高达 50 万枚。但相关机构与交易所仍然𫖸意贡献一己之力，透过借款 ETH 助力 Bybit 度过短期提领潮。

不仅如此，也有链上相关专家帮忙找出本次事件的元凶以及他们的作案手法。

原凶是北韩骇客组织 Lazarus Group

在骇客事件发生后，链上分析平台 Arkham 就立刻发出 50,000 枚 ARKM 的 悬赏 ，奖励找出整起骇客事件的元凶。对此，链上侦探 ZackXBT 首先提交犯人证据并获得奖励，而整起事件的元凶，就是币圈非常熟悉的北韩骇客组织「LAZARUS GROUP」。

而在推文底下有人询问 ZackXBT：「Bybit 能从 LAZARUS 拿回多少遭骇资金（可能透过协商拿回）」。对此，ZackXBT 表示，在乐观情况下，或许可以拿回 15~30% 资金：

部分追回比较常见（乐观情况下 15-30%？），但要清洗 14.6 亿美金可能会更难，这取决于他们有多耐心。

最近的骇客事件中，Lazarus 主要是把资金分散到不同链上的中国交易所，最终透过 OTC 交易换手。

朝鲜 IT 人员曾经全额归还 Munchables 的资金，但那是完全不同的一个团队。

OneKey：大概率是 Bybit 工作人员电脑被入侵

另外，对于整起骇客事件的攻击手法，慢雾安全专家余弦 表示 ，攻击者先在 2 月 19 日部署恶意合约，并在 2 月 21 日利用 Bybit Safe 多簽钱包的三个 owner 簽署，将 Safe 合约替换成恶意合约，最后透过恶意合约进行操作，窃走 Bybit 钱包的资金。

冷钱包团队 OneKey 补充 表示，骇客大概率确认 bybit 的三个多簽电脑已被入侵，具备可攻击条件。并在接下来的多簽工作人员日常转帐簽名时替换簽名内容。

安全专家：Bybit 被盗事件不是个案，去年就有多起遭骇事件

接著，余弦在今早再度发推表示，Bybit 本次被盗事件不是个案，北韩骇客在去年已经成功利用类似手法攻击多家平台：

Safe 合约本身没有问题，问题出在非合约部分，前端被篡改并偽造，以达到欺骗效果。这并非个案，朝鲜骇客去年已成功攻击多家平台，例如：

• WazirX：2.3 亿美元，Safe 多簽
• Radiant Capital：5000 万美元，Safe 多簽
• DMM：3.05 亿美元，Gnosis 多簽

这类攻击手法已经工程化、成熟化，确实厉害。其他项目方也需要提高警惕，类似的攻击点可能不仅存在于 Safe 的多簽机制。

Safe 合约没问题，问题在非合约部分，前端被篡改伪造达到欺骗效果。这个不是个案。朝鲜黑客去年就搞定过好几家，如：

– WazirX $230M Safe 多签

– Radiant Capital $50M Safe 多签

– DMM $305M Gonco 多签

这种攻击手法工程化成熟，真强。其他家也需要多注意，多签可能不止 Safe 存在这类攻击点。

— Cos(余弦)?‍?️ (@evilcos) February 22, 2025

?相关报导?

Bybit CEO 拒绝上架 Pi 币：不想未来被大妈大爷围剿讨血汗钱

Bybit 全面公𫔭清算数据，树立业界新标準

币安CZ：「被骇15亿镁很严重，建议Bybit关闭提款」，有需要我能帮忙